自作PCで生体認証を使う

毎回、Windowsのロック解除でPINを入力するのが面倒臭い、というシンプルな理由で指紋認証を導入することにしました。

SEKC SFSD-01


最初に購入したのが「SEKC SFSD-01」。商品説明にはWindows Hello以外にも、FacebookやTwitterでも使えるとありますが、FIDOに対応しているわけではないようで、Smart IDというアプリで自動ログインできる、というもののようです。Smart IDをインストールすると、一緒にChromeの拡張機能もインストールされます。これは本末転倒というか、ただのパスワードマネージャーなので、2段階認証や2要素認証に使いたいと思っている人向けの機能ではありません。

ただ、Windows Helloにだけ使う人は、これで十分だと思います。指紋認証によるロック解除は、かなり高速。

ちなみに、ChomeやFirefoxでTwitterのセキュリティキー設定を行ってみましたが、このデバイスは反応しませんでした。

Kensington VeriMark


ということで、FIDO2かFIDO/U2Fに対応している製品を探して、Kensington VeriMarkを追加購入しました。

とりあえず、Windows HelloとFirefox + Twitter(WebAuthn)での動作確認はできました。Twitterは、あらかじめセキュリティキーを設定しておけば、ID/PWD+指紋でログインできるようになります。一度、セキュリティキーでの認証を選択すれば、SMSでログインコードが送られてくることもなくなります。

デスクトップPCで使用しているので、指紋認証デバイスはバッファローのスタンド付きUSBケーブルで接続しています。スタンド部分にそこそこ重みがあるので、認証時に指で触っても動かず安定します。

ということで、Google、Github、Backlog等のアカウントはケンジントンのデバイスを使おうと思います。

Github


Chromeを使用しないとセキュリティキーの設定ができない。Chromeで一度設定してしまえば、Firefoxでも指紋認証可(指紋認証時も毎回SMSが飛んでくる)。

Facebook


一度セキュリティキーを使ったログインをすると同一ブラウザでの二段階認証をスキップできるようになる。

Twitter


セキュリティキーでのログインを選択すると、以後SMSでログインコードが飛んでこない。

Google


設定はしたけど、登録済のデバイス(ブラウザ)だと、そもそも二段階認証が発生しないので、あまり意味が無いかも。

※各サービスはSMSでの二段階認証を設定後にセキュリティキーの設定を行っている。

【2019-09-01追記】
Windowsアップデート後(どのビルドからかは不明)FirefoxやChromeでWebAuthnを利用した場合の処理シーケンスが変更になっていて、Windows側のポップアップウィンドウが表示されるようになりました。また、セキュリティキー確認までのタイムアウトが短く設定されているのか、ログインしてから指をスキャナーに置くという手順だと、タイムアウトになってしまい認証に失敗してしまいます。

回避方法は「指をスキャナーに置いた状態でログインボタンを押す」です。



コメント
トラックバック
この記事のトラックバックURL